Tiktok hat es gerade nicht leicht. US-Präsident Donald Trump hat sich auf die Video-App eingeschossen und will das Unternehmen aus den USA verbannen, sollte sich der chinesische Mutterkonzern Bytedance nicht auf einen Verkauf an Microsoft einlassen. Der vorgebliche Grund: Tiktok teile Daten mit der chinesischen Regierung und sei deswegen ein nationales Sicherheitsrisiko.

Tiktok betont unterdessen unentwegt, man sammle nicht über Gebühr Daten und teile diese auf keinen Fall mit China. Eine Recherche des «Wall Street Journal» kommt Tiktok deshalb gerade besonders ungelegen: Die Reporter waren Vorwürfen nachgegangen, dass Tiktok umfangreiche Datensammlungen über die Nutzer an die eigenen Server schickt. Aufgebracht hatte die Vorwürfe ein anonymer Nutzer im Internetforum Reddit. In dem mittlerweile tausendfach kommentierten Post war Tiktok als «Datensammlungswerkzeug, das sich als Social Network verkleidet», bezeichnet worden. Unter anderem werde die MAC-Adresse ausgelesen und weitergeschickt, hiess es da. Der Post ist mittlerweile nicht mehr verfügbar.

Wertvolle Daten für Werbepartner

Der Beweis dafür, den der Verfasser noch schuldig geblieben war, liefert nun das «Wall Street Journal». Die MAC-Adresse eines Geräts (die Abkürzung steht für: Media Access Control) ist so etwas wie das Nummernschild von PCs, Laptops oder Mobiltelefonen. Doch Nummernschilder kann man austauschen, MAC-Adressen nur äusserst schwer. Deshalb sind sie vor allem für die Werbeindustrie interessant: Auch wenn Nutzer die App einmal löschen sollten, lassen sich die gesammelten Daten mithilfe der MAC-Adresse weiter einem Gerät und damit einer Person zuordnen. So bleiben sie wertvoll für Werbepartner.

Apple und Google haben den Wert und die Gefahren solch eindeutiger Identifizierungsmerkmale schon länger erkannt und verbieten deshalb, sie zu sammeln – Apple seit 2013, Google seit 2015. Doch im Android-Ökosystem gibt es Möglichkeiten für Apps, die Nummer dennoch auszulesen. Der kanadische IT-Sicherheitsforscher Joel Reardon stellte 2019 eine Studie vor, wonach 711 der von seinem Team untersuchten Apps unerlaubt die MAC-Adresse weitergaben.

Tiktok ist also bei weitem nicht die einzige betroffene App. Doch kaum ein Unternehmen ist derzeit so im Fokus wie das soziale Netzwerk mit dem chinesischen Mutterkonzern. Im Fall von Tiktok kommt erschwerend hinzu, dass die App den Datensatz mit der MAC-Adresse zunächst verschlüsselte, bevor es diesen an die Server der Firma schickte. Das deutet darauf hin, dass dem Unternehmen klar gewesen sein dürfte, dass die Sammlung gegen die Android-Regeln verstiess.

Tiktok fühlt sich missverstanden

IT-Sicherheitsforscher Reardon teilte seine Erkenntnisse über Daten sammelnde Apps im Juni 2019 mit Google. Dort sei das generelle Problem aber bereits bekannt gewesen. Ein Google-Sprecher sagte dieser Zeitung nur, man untersuche die Vorwürfe.

Eine Tiktok-Sprecherin bestätigte aber die Recherchen, die App-Versionen bis November 2019 hätten tatsächlich MAC-Adressen ausgelesen und verschickt. Doch das Unternehmen fühlt sich missverstanden. «Tiktok sammelt nicht mehr Daten als andere mobile Apps, wie auch das ‹Wall Street Journal› betont.» Die von der Zeitung beanstandete Verschlüsselung der Daten sei aus «Sicherheitsgründen» geschehen. Inwiefern auch die Sammlung der MAC-Adressen zur Sicherheit der Nutzer beitragen sollte und warum sie im November 2019 eingestellt wurde, dazu äusserte sich die Sprecherin nicht im Detail.

Nur: «Die aktuelle Tiktok-App sammelt keine MAC-Adressen.» Nutzer, die sich die extrem populäre App seit Ende 2019 heruntergeladen haben, müssen sich offenbar tatsächlich weniger Sorgen machen. Der französische IT-Sicherheitsforscher Baptiste Robert hatte Anfang August die aktuelle Tiktok-App-Version untersucht und war zu dem Schluss gekommen, dass die App derzeit nicht mehr Daten sammelt als vergleichbare Apps.

Fehler gefunden?Jetzt melden.